【系统分析师之路】第十八章 复盘系统安全分析与设计

【系统分析师之路】第十八章 复盘系统安全分析与设计

前言部分 历年真题考点分析

1）考点分析

在安全分析与设计章节，在上午选择题当中将加解密相关的内容剔除之后，平均每年也就考个2分左右。一般考查安全协议，病毒分类，入侵检测系统等部分，相对比较分散但也不难，目标还是要拿分的。

2）重要知识点

1.VPN的关键技术组成
2.常用网络安全协议（TLS，SET，HTTPS，SSL等）
3.安全审计的作用
4.常用的网络隔离技术（人工隔离，防火墙）
5.入侵检测系统的构成
6.病毒的分类（宏病毒，蠕虫病毒等）
7.常用的报文摘要算法
8. IPsec协议的组成

第一部分 综合知识历年真题

2007下综合知识历年真题（2分）

【2007下系分真题第04题：黄色】
04.实现VPN的关键技术主要有隧道技术、加解密技术、（8）和身份认证技术。如果需要在传输层实现VPN，可选的协议是（9）。
(8)
A.入侵检测技术
B.病毒防治技术
C.安全审计技术
D.密钥管理技术
(9)
A.L2TP
B.PPTP
C.TLS
D.IPsec

解答：答案选择D｜C。二周目依然第一空选错。
本题考查的是VPN方面的基础知识。
应该知道实现VPN的关键技术主要有隧道技术、加解密技术、密钥管理技术和身份认证技术。L2TP、PPTP是两种链路层的VPN协议，TLS是传输层VPN协议，IPsec是网络层VPN协议

2008上综合知识历年真题（0分）

2008下综合知识历年真题（2分）

【2008年下系分真题第06题：绿色】
06.TCP/IP在多个层次中引入了安全机制，其中TLS协议位于（8）。
(8)
A.数据链路层
B.网络层
C.传输层
D.应用层

解答：答案选择C。送分题。TLS（Transport Layer Security Protocol）全称为传输层安全协议，用于在两个通信应用程序之间提供保密性和数据完整性，通常位于某个可靠的传输协议（例如TCP）上面，与具体的应用无关。所以一般把TLS协议归为传输层安全协议

【2008年下系分真题第07题：绿色】
07.下列安全协议中，（9）能保证交易双方无法抵赖。
(9)
A.SET
B.SHTTP
C.PGP
D.MOSS

解答：答案选择A。此题错了不应该哪。
SET（Secure Electronic Transaction）协议，全称为安全电子交易协议。主要目的是保证用户、商家和银行之间通过信用卡支付的交易过程中的支付信息的机密、支付过程的完整、商户及持卡人的合法身份确认。
HTTPS是安全HTTP协议，PGP和MOSS都是安全电子邮件协议

2009上综合知识历年真题（3分）

【2009年系分真题第5题：绿色】
05.安全审计系统是保障计算机系统安全的重要手段之一，其作用不包括 （6） 。
A.检测对系统的入侵
B.发现计算机的滥用情况
C.提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞
D.保证可信网络内部信息不外泄

解答：答案选择D。考查系统安全设计。送分题。

【2009年系分真题第06题：绿色】
06.网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外，在保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。下列隔离方式中，安全性最好的是（7）。
A.多重安全网关
B.防火墙
C.VLAN 隔离
D.人工方式

解答：答案选择D。考查计算机网络安全。
网络隔离（Network Isolation)技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。有多种形式的网络隔离，如物理隔离、协议隔离和VPN隔离等。无论采用什么形式的网络隔离，其实质都是数据或信息的隔离。网络隔离的重点是物理隔离。人工方式隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。

【2009年系分真题第07题：绿色】
07.在 X.509 标准中，不包含在数字证书中的是（8） 。
A. 序列号
B. 签名算法
C. 认证机构的签名
D. 私钥

解答：答案选择D。考查安全的知识。数字证书中包含用户的公钥，而用户的私钥只能被用户拥有。

2010上综合知识历年真题（3分）

【2010系分真题第六题：黄色】
06.入侵检测系统的构成不包括（7)。
A.预警单元
B.事件产生器
C.事件分析器
D.响应单元

解答：答案选择A。二周目蒙对。
美国国防部高级研究计划局（DARPA)提出的公共入侵检测框架（Common Intrusion Detection Framework,CIDF)由4个模块组成
事件产生器（Eventgenerators，E-boxes)
负责数据的采集，并将收集到的原始数据转换为事件，向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自4个方面：系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息等。入侵检测要在网络中的若干关键点（不同网段和不同主机）收集信息，并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。
事件分析器（Event Analyzers，A-boxes)
接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，分析方法有下面三种：
①模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为。
②统计分析：首先给系统对象（例如用户、文件、目录和设备等）建立正常使用时的特征文件（Profile)，这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时，就认为有可能发生入侵行为。
③数据完整性分析：主要关注文件或系统对象的属性是否被修改，这种方法往往用于事后的审计分析。
事件数据库（EventDatabases，D-boxes)：
存放有关事件的各种中间结果和最终数据的地方，可以是面向对象的数据库，也可以是一个文本文件。
响应单元（Response units，R-boxes)
根据报警信息做出各种反应，强烈的反应就是断开连接、改变文件属性等，简单的反应就是发出系统提示，引起操作人员注意。
因此，入侵检测系统的构成中不包括预警单元，故选A。

【2010系分真题第七题：绿色】
07.如果杀毒软件报告一系列的Word文档被病毒感染，则可以推断病毒类型是(8)；如果用磁盘检测工具（CHKDSK、SCANDISK等）检测磁盘发现大量文件链接地址错误，表明磁盘可能被（9)病毒感染。
(8). (9).
A.文件型
B.引导型
C.目录型
D.宏病毒

解答：答案选择D｜C。本题考査计算机病毒方面的基础知识。三周目绿色。
计算机病毒的分类方法有许多种，按照最通用的区分方式，即根据其感染的途径以及采用的技术区分，计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。
文件型病毒
文件型计算机病毒感染可执行文件（包括EXE和COM文件）。
引导型病毒
引导型计算机病毒影响软盘或硬盘的引导扇区。
宏病毒
宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件。
目录型病毒
目录型计算机病毒能够修改硬盘上存储的所有文件的地址，如果用户使用某些工具(如SCANDISK或CHKDSK)检测受感染的磁盘，会发现大量的文件链接地址的错误，这些错误都是由此类计算机病毒造成的

2011上综合知识历年真题（3分）

【2011年系分真题第四题：绿色】
04.下面病毒中，属于蠕虫病毒的是（6）。
(6)
A.CIH病毒
B.特洛伊木马病毒
C.罗密欧与朱丽叶病毒
D.Melissa病毒

解答：答案选择C。
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。
特洛伊木马病毒是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进朽：窃取信息等的工具。
2000年出现的“罗密欧与朱丽叶”病毒是一个非常典型的蠕虫病毒，它改写了病毒的历史，该病毒与邮件病毒基本特性相同，它不再隐藏于电子邮件的附件中，而是直接存在于电子邮件的正文中，一旦用户打开Outlook收发信件进行阅读，该病毒马上就发作，并将复制的新病毒通过邮件发送给别人，计算机用户无法躲避。
Melissa (梅丽莎）病毒是一种宏病毒，发作时将关闭Word的宏病毒防护、打开转换确认、模板保存提示；使“宏”、“安全性”命令不可用，并设置安全性级别为最低。

【2011年系分真题第32题：绿色】
32.信息安全的威胁有多种，其中（39）是指通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。
(39)
A.窃听
B.信息泄露
C.旁路控制
D.业务流分析

解答：答案选择D。
业务流分析属于信息安全威胁的一种。它通过对系统进行长期监听，利用统计分析方法诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息规律

【2011年系分真题第52题：绿色】
52.下列选项中，同属于报文摘要算法的是（67）。
（67）
A.DES和MD5
B.MD5和SHA-1
C.RSA和SHA-1
D.DES和RSA

解答：答案选择B。
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才显示出本来内容，通过这样的途径来达到保护数据不被非法人员窃取、阅读的目的。
常见加密算法有 DES (Data Encryption Standard)、3DES (Triple DES)、RC2 和RC4、IDEA (International Data Encryption Algorithm), RSA。
报文摘要算法主要应用在“数字签名”领域，作为对明文的摘要算法。著名的摘要算法有RSA公司的MD5算法和SHA1算法及其大量的变体

2012上综合知识历年真题（2分）

【2012年系分真题第四题：绿色】
04.下面关于钓鱼网站的说法中错误的是（6）。
（6）
A.钓鱼网站仿冒真实网站的URL地址
B.钓鱼网站通过向真实网站植入木马程序以达到网络攻击的目的
C.钓鱼网站用于窃取访问者的机密信息
D.钓鱼网站可以通过E-mail传播网址

解答：答案选择B。
钓鱼网站是指一类仿冒真实网站的URL地址，通过E-mail传播网址，目的是窃取用户账号、密码等机密信息的网站

【2012年系分真题第五题：绿色】
05.支持安全Web应用的协议是（7）。
（7）
A.HTTPS
B.HTTPD
C. SOAP
D. HTTP

解答：答案选择A。
Web服务的标准协议是HTTP协议，HTTPS对HTTP协议增加了一些安全特性，WINS是Windows系统的一种协议，SOAP是基于HTTP和XML,用于Web Service的简单对象访问协议

2013上综合知识历年真题（1分）

【2013年系分真题第7题：绿色】
07.下图为DARPA提出的公共入侵检测框架示意图，该系统由4个模块组成。其中模块①〜④分别是（9）。

(9)
A.事件产生器、事件数据库、事件分析器、响应单元
B.事件分析器、事件产生器、响应单元、事件数据库
C.事件数据库、响应单元、事件产生器、事件分析器
D.响应单元、事件分析器、事件数据库、事件产生器

解答：答案选择D。

2014上综合知识历年真题（3分）

【2014年系分真题第五题：红色】
05.以下关于IPsec协议的描述中，正确的是（6）。
(6)
A.IPsec认证头（AH）不提供数据加密服务
B.IPsec封装安全负荷（ESP）用于数据完整性认证和数据源认证
C.IPsec的传输模式对原来的IP数据报进行了封装和加密，再加上了新IP头
D.IPsec通过应用层的Web服务建立安全连接
解答：答案选择A。对于IPSec感觉还是有点不太清楚。
IPsec的功能可以划分三类：
认证头（Authentication Header, AH)：用于数据完整性认证和数据源认证；
封装安全负荷（Encapsulating Security Payload，ESP)：提供数据保密性和数据完整性认证，ESP也包括了防止重放攻击的顺序号
Internet密钥交换协议（Internet Key Exchange，IKE)：用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证
IPsec传输模式中，IP头没有加密，只对IP数据进行了加密；在隧道模式中，IPSec 对原来的IP数据报进行了封装和加密，加上了新的IP头。
IPSec的安全头插入在标准的IP头和上层协议（例如TCP)之间，任何网络服务和网络应用可以不经修改地从标准IP转向IPSec，同时IPSec通信也可以透明地通过现有的IP路由器。

【2014年系分真题第六题：红色】
06.防火墙的工作层次是决定防火墙效率及安全的主要因素，下面的叙述中正确的是（7）。
(7)
A.防火墙工作层次越低，则工作效率越高，同时安全性越高
B.防火墙工作层次越低，则工作效率越低，同时安全性越低
C.防火墙工作层次越高，则工作效率越高，同时安全性越低
D.防火墙工作层次越高，则工作效率越低，同时安全性越高

解答：答案选择D。蒙错。
防火墙的性能及特点主要由以下两方面所决定：
工作层次，这是决定防火墙效率及安全的主要因素。一般来说，工作层次越低，则工作效率越高，但安全性就低了；反之，工作层次越高，工作效率越低，则安全性越高。
防火墙采用的机制，如果采用代理机制，则防火墙具有内部信息隐藏的特点，相对而言，安全性高，效率低；如果采用过滤机制，则效率高，安全性却降低了

【2014年系分真题第七题：黄色】
07.在入侵检测系统中，事件分析器接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，其常用的三种分析方法中不包括（8）。
(8)
A.模式匹配
B.密文分析
C.数据完整性分析
D.统计分析

解答：答案选择B。凭感觉蒙对。
入侵检测系统由4个模块组成：事件产生器、事件分析器、事件数据库和响应单元。
事件分析器负责接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，其分析方法有以下三种：
模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为
统计分析：首先给系统对象（例如用户、文件、目录和设备等）建立正常使用时的特征文件（Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时，就认为有可能发生入侵行为
数据完整性分析：主要关注文件或系统对象的属性是否被修改，这种方法往往用于事后的审计分析。

2015上综合知识历年真题（4分）

【2015年系分真题第四题：黄色】
04.IEEE 802.1x是一种（6）认证协议。
(6)
A.用户ID
B.报文
C. MAC地址
D. SSID

解答：答案选择C。二周目蒙对。
IEEE802.1X协议实现基于端口(MAC地址)的访问控制。认证系统对连接到链路对端的请求者进行认证。一般在用户接入设备上实现802.1X认证。在认证通过之前，802.1X只允许EAPoL(基于局域网的扩展认证协议(数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

【2015年系分真题第五题：红色】
05.为了弥补WEP的安全缺陷，WPA安全认证方案中新增的机制是（7）。
(7)
A.共享密钥认证
B.临时密钥完整性协议
C.较短的初始化向量
D.采用更强的加密算法

解答：答案选择B。二周目三周目依然蒙错。
有线等效保密WEP的设计目的是提供与有线局域网等价的机密性。WEP使用RC4协议进行加密，并使用CRC-32校验保证数据的完整性。 最初的WEP标准使用Mbit的初始向量，加上40bit的字符串，构成64bit的WEP密钥。 后来美国政府也允许使用104bit的字符串，加上24bit的初始向量，构成128bit的WEP密钥。然而24bit的IV并没有长到足以保证不会出现重复，只要网络足够忙碌，在很短的时间内就会耗尽可用的IV而使其出现重复，这样WEP密钥也就重复了。 Wi-Fi联盟厂商以802.11i草案的子集为蓝图制定了称为WPA（Wi-FiProtectedAccess）安全认证方案。在WPA的设计中包含了认证、加密和数据完整性校验三个组成部分。首先是WPA使用了802.1X协议对用户的MAC地址进行认证；其次是WEP增大了密钥和初始向量的长度，以128bit的密钥和48位的初始向量（IV）用于RC4加密。WPA还采用了可以动态改变密钥的临时密钥完整性协议TKIP，以更频繁地变换密钥来减少安全风险。最后，WPA强化了数据完整性保护，使用报文完整性编码来检测伪造的数据包，并且在报文认证码中包含有帧计数器，还可以防止重放攻击。

【2015年系分真题第六题：绿色】
06.信息系统安全可划分为物理安全、网络安全、系统安全和应用安全，（8）属于系统安全，（9）属于应用安全。
(8)
A.机房安全 B.入侵检测 C.漏洞补丁管理 D.数据库安全
(9)
A.机房安生 B.入侵检测 C.漏洞补丁管理 D.数据库安全

解答：答案选择C｜D。
机房安全属于物理安全，入侵检测属于网络安全，漏洞补丁管理属于系统安全，而数据库安全则是应用安全。

2016上综合知识历年真题（1分）

【2016年系分真题第6题：绿色】
06.下列不属于报文认证算法的是（9）。
(9)
A．MD5
B．SHA-1
C．RC4
D．HMAC

解答：答案选择C。
A和B都是摘要加密算法，RC4是加密算法非摘要算法。

2017上综合知识历年真题（1分）

【2017年系分真题第七题：红色】
07.SHA-l 是一种针对不同输入生成（9）固定长度摘要的算法。
(9)
A.128 位
B.160 位
C.256位
D.512 位

解答：答案选择B。本题考查信息安全中的摘要算法
常用的消息摘要算法有MD5，SHA等，市场上广泛使用的MD5，SHA算法的散列值分别为128和160位，由于SHA通常采用的密钥长度较长，因此安全性高于MD5。

2018上综合知识历年真题（2分）

【2018上系分真题第05题：绿色】
05.下列算法中，用于数字签名中摘要的是（ ）。
A.RSA
B.IDEA
C.RC4
D.MD5

解答：答案选择D。送分题。
RSA是非对称加密算法；MD5属于信息摘要算法；IDEA与RC4属于非对称加密算法。

【2018上系分真题第06题：绿色】
06.以下用于在网络应用层和传输层之间提供加密方案的协议是（ ）。
A.PGP
B.SSL
C.IPSec
D.DES

解答：答案选择B。送分题。
PGP是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。IPSec是在IP包级为IP业务提供保护的安全协议标准。DES是一利常用的对称加密算法。

2019上综合知识历年真题（1分）

【2019上系分真题第06题：绿色】
06.数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程。数字签名标准DSS中使用的签名算法DSA是基于ElGamal和Schnorr两个方案而设计的。当DSA对消息m的签名验证结果为True，也不能说明（ ）。
A.接收的消息m无伪造
B.接收的消息m无篡改
C.接收的消息m无错误
D.接收的消息m无泄密

解答：答案选择D。
在安全领域，使用数字签名技术，能防消息篡改，消息伪造，也可防消息在传输过程中出错，但不能防止消息泄密。因为数字签名本质上来讲，是利用私钥加密，公钥验证，这意味着所有人都能解开数字签名的内容，故无保密作用。

2020下综合知识历年真题（6分）

【2020下系分真题第04题：绿色】
04.以下关于防火墙技术的描述中，正确的是( )。
A.防火墙不能支持网络地址转换
B.防火墙通常部署在企业内部网和Internet之间
C.防火墙可以查、杀各种病毒
D.防火墙可以过滤垃圾邮件

解答：答案选择B。
本题考查防火墙技术的相关知识。
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。现在的防火墙大部分都能支持网络地址转换，选项A说法错误。防火墙可以布置在企业内部网和Internet之间，选项B说法正确。防火墙只是通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，不可以查、杀各种病毒，也不能过滤各种垃圾邮件，选项C和D说法错误

【2020下系分真题第05题：黄色】
05.SHA-256是( )算法。
A.加密
B.数字签名
C.认证
D.报文摘要

解答：答案选择D。二周目黄色。
MD5、SHA属于报文摘要算法。
加密分为对称加密和非对称加密。常见对称加密算法有DES、3DES、IDEA、RC、AES，数字签名也使用到了非对称加密机制，常见的非对称加密算法有RSA、DSA。报文摘要算法也称为哈希算法，常见算法有MD5和SHA，其用于认证消息的完整性。

【2020下系分真题第06题：绿色】
06.某电子商务网站为实现用户安全访问，应使用的协议是( )。
A.HTTP
B.WAP
C.HTTPS
D.IMAP

解答：答案选择C。送分题。
本题考查的是网络安全协议相关内容。
HTTP协议是Hyper Text Transfer Protocol（超文本传输协议）的缩写,是用于从万维网（WWW）服务器传输超文本到本地浏览器的传送协议。信息是明文传输，所以A选项不能实现用户安全访问。
HTTPS协议是由HTTP加上SSL协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护。设计目标主要有三个。
（1）数据保密性：保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。
（2）数据完整性：及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。
（3）身份校验安全性：保证数据到达用户期望的目的地。就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方，通过身份校验来确保送对了地方。所以C选项可以实现用户安全访问。
WAP（无线通讯协议）是在数字移动电话、互联网或其他个人数字助理机（PDA）、计算机应用乃至未来的信息家电之间进行通讯的全球性开放标准。所以B选项不能实现用户安全访问。
IMAP（因特网消息访问协议）以前称作交互邮件访问协议（Interactive Mail Access Protocol），是一个应用层协议。与POP3协议类似，IMAP（Internet消息访问协议）也是提供面向用户的邮件收取服务。所以D选项不能实现用户安全访问。

【2020下系分真题第07题：绿色】
07.根据国际标准ITUT X.509规定，数字证书的一般格式中会包含认证机构的签名，该数据域的作用是( )。
A.用于标识颁发证书的权威机构CA
B.用于指示建立和签署证书的CA的X.509名字
C.用于防止证书伪造
D.用于传递CA的公钥

解答：答案选择C。
本题考查的是数字证书相关内容。
数字证书又称为数字标识，是由认证中心（Certificate Authority，CA）签发的对用户的公钥的认证。数字证书的内容应包括CA的信息、用户信息、用户公钥、CA签发时间和有效期等。目前，国际上对证书的格式和认证方法遵从X.509体系标准。
在X.509格式中，数字证书通常包括版本号、序列号（CA下发的每个证书的序列号都是唯一的）、签名算法标识符、发行者名称、有效期、主体名称、主体的公钥信息、发行者唯一识别符、主体唯一识别符、扩充域、发行者签名（就是CA用自己的私钥对上述数据进行数字签名的结果，也可以理解为是CA中心对用户证书的签名）等信息。
签名可以理解为用私钥加密的过程，认证机构在证书上用自己的私钥签名，可以保证签名一定来自于认证机构，从而保证身份的真实性，防止证书伪造。

【2020下系分真题第15题：绿色】
15.在信息安全领域，基本的安全性原则包括保密性(Confidentiality)、完整性(Integrity)和可用性(Avilbility)。
保密性指保护信息在使用、传输和存储时。信息加密是保证系统性能的常用手段。使用哈希校验是保证数据完整性的常用方法。可用性指保证合法用户对资源的正常访问，不会被不正当地拒绝。 ()就是破坏系统的可用性。
A. 不被泄露给已注册的用户
B. 不被泄露给未授权的用户
C. 不被泄露给未注册的用户
D. 不被泄露给已授权的用户
》
A.XSS 跨站脚本攻击
B.DoS 拒绝服务攻击
C.CSRF 跨站请求伪造攻击
D.缓冲区溢出攻击

解答：答案选择B｜B。本题是对信息安全相关概念的考查。
在信息安全领域，基本的安全性原则包括保密性(Confidentiality)、完整性(Integrity)和可用性(Avilbility)。
1、保密性
保密性用一句话来说就是，确保数据只被授权的主体访问，不被任何未授权的主体访问。简单用一个词总结就是“不可见”。第一空为B选项。
举个例子，你不会允许陌生人查看你的个人隐私信息，但你可能会允许父母、朋友查看部分信息。再比如微信朋友圈，你可以允许好友查看三天内的数据，但不允许好友查看三天前的数据。
首先需要注意，保密性的一个前提是明确授权规则，也就是明确每一项数据可以被什么样的主体访问。在这个问题上，最安全的方法一定是，当每一次主体访问某一项数据时，都由相关负责人对该次行为进行审批。但这样肯定是无法落地的，因为互联网每天都有亿万次的数据访问行为在发生。
因此，在安全领域我们提出了很多访问控制机制，对数据和访问主体打上标签或者分类，并制定相应的访问控制规则去自动进行授权。另外，数据的存储、传输和处理过程也需要受到应有的保护。这些保护技术包括：加密、隔离、混淆、隐藏等。
2、完整性
完整性就是确保数据只被授权的主体进行授权的修改。
所谓“授权的修改”，就是对主体可进行的操作进行进一步的限制。比如，只能追加数据的主体无法执行删除的操作。
在授权方面，机密性中提到的访问控制机制同样适用。除此之外，完整性会更加强调对修改行为的日志记录，并有合适的监督机制进行审计。
在保护技术方面，只要是利用加密、签名等技术，使得数据的完整性变得可验证。
针对完整性的攻击也和机密性一样，更多的是由于人为原因导致的疏忽。除了黑客本身对数据的恶意篡改，已授权的主体也可能对数据完整性产生破坏，比如员工意外地删除数据、程序bug导致错误数据被写入。
3、可用性
可用性就是确保数据能够被授权的主体访问到，简单来说，就是“可读”。
但事实上，可用性往往没有被划分到安全的 是最受到重视的，而开发会比安全首先去考虑可用性的问题。
举个例子，面对高峰期的集中用户访问，如何保障用户能够正常地获取数据（双11购物或者DDoS攻击等），你可以看到大量的研发人员对这个问题进行探讨和分析，但这其实都属于安全在可用性上的考量范围。

2022上综合知识历年真题（3分）

【2022下系分真题第07题：绿色】
07.( )不属于基于生物特征的认证技术。
A.指纹识别
B.人脸识别
C.口令
D.虹膜识别

解答：答案选择C。
生物特征识别是指通过识别用户的生理特征来认证用的身份，如指纹识别、视网膜识别、发音识别等。它应具有不可复制的特点，必须具有唯一性和稳定性。指纹识别技术的利用分为两类：验证（ Verification )和辩识。

【2022下系分真题第47题：绿色】
47.信息系统的安全是个复杂的综合体，涉及系统的方方面面，其中( )是指保护计算机设备、设施和其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(例如，电磁辐射等)破坏的措施和过程。( )是计算机信息系统安全的重要环节，其实质是保证系统的正常运行，不因偶然的或恶意的侵扰而遭到破坏，使系统可靠、连续地运行，服务不被中断。
A.信息安全
B.人员安全
C.运行安全
D.实体安全
》
A.信息安全
B.人员安全
C.运行安全
D.实体安全

解答：答案选择D|C。
信息系统的安全是一个复杂的综合体。设计系统的方方面面。其中实体安全是指保护计算机设备设施和其他媒体免遭到火灾，地震水灾有害气体和其他环境事故（例如电磁辐射等）破坏的措施和过程。
运行安全是计算机系统安全的重要环节，其实质是保证系统的正常运行，不因偶然的或恶意的侵扰而遭到破坏，使系统可靠，连续的运行，服务不被中断。